A lei geral de proteção de dados entrou em vigor e trouxe a obrigação da criação e implantação de um sistema de proteção de dados pessoais. Esse novo cenário de conformidade traz uma série de dúvidas, de incertezas e impõe uma nova cultura.

O sistema de compliance de proteção de dados se inicia basicamente com a análise de riscos, momento em que todos os processos são mapeados e se tem uma dimensão do tratamento de dados que a empresa realiza. Com isso, dá-se o passo para a implantação de um sistema de gestão que buscará criar e manter mecanismos de proteção e de controle. E, por fim, esse sistema precisará ser testado e monitorado por meio de auditorias.

A implantação e gestão do programa de conformidade é essencial para o controle dos dados e para a comunicação com todas as partes interessadas. Mas um item essencial, que vai além da implantação de uma série de normas, procedimentos e muitas vezes imposições, é a mudança de cultura.

O incidente de dados, como chamamos um eventual vazamento ou desvio de finalidade no uso ou tratamento de dados pelas empresas, não depende de um sistema por melhor que seja, mas sim daqueles que operam esse sistema.

A lei traz alguns princípios que devem nortear todo o sistema de conformidade de proteção de dados. Dentre eles, podemos destacar a finalidade, ou seja, o propósito do uso dos dados, que deve ser legítimo, específico e explícito. Temos também a prevenção, na qual a empresa deve adotar uma série de medidas a fim de prevenir a ocorrência de danos. E até a necessidade de prestação de contas, consistente na demonstração de medidas eficazes e capazes de comprovar a observância das normas de proteção de dados, além de outros mais.

O objetivo dos princípios é justamente construir a essência do programa de proteção, que não é só um conjunto de normas e regras que serão implantadas no dia a dia da empresa. Pelo contrário, são elementos norteadores de todo o sistema, com os quais principalmente os operadores devem estar habituados, a fim de que possam ter autonomia, autocrítica e autogestão quando estiverem manipulando dados.

Esse conceito é o que chamamos de cultura de proteção de dados, que deve ser disseminada desde o início da análise de risco, com o engajamento da equipe de gestão e culmina com a conscientização da equipe acerca de seu papel para a estabilidade e eficácia do programa.

A implantação de um sistema efetivo e autônomo de proteção de dados, está intimamente ligado à capacidade de se implantar muito mais do que uma série de normas e novos procedimentos e criar para o colaborador, apenas mais uma obrigação, mas sim, transformar a cultura da empresa, de modo a garantir que todos tenham consciência da essência do programa e seus benefícios para todas as partes envolvidas.

Nota do Editor: Rubens Leite é Advogado e sócio gestor da RGL Advogados (rgladvogados.com).